Cryptonews

Esquema criptográfico norcoreano expuesto: 3,5 millones de dólares robados a través de identidades de desarrolladores falsas

Fuente
cryptonewstrend.com
Publicado
Esquema criptográfico norcoreano expuesto: 3,5 millones de dólares robados a través de identidades de desarrolladores falsas

El renombrado detective de blockchain ZachXBT publicó esta semana información confidencial obtenida de un dispositivo pirateado propiedad de un operador de TI de Corea del Norte, exponiendo un esquema organizado de fraude de criptomonedas que acumuló más de $3,5 millones en varios meses. La inteligencia fue proporcionada por un investigador de seguridad anónimo que se infiltró con éxito en una de las computadoras de los agentes. ZachXBT compartió su análisis sobre X, explicando cómo aproximadamente 140 trabajadores, supervisados ​​por un individuo que usaba el alias “Jerry”, estaban generando aproximadamente $1 millón mensual en criptomonedas a partir de finales de noviembre de 2024. 1/ Recientemente, una fuente anónima compartió datos extraídos de un servidor de pagos interno de Corea del Norte que contenía 390 cuentas, registros de chat y transacciones criptográficas. Pasé largas horas repasándolo todo, y ninguno de ellos se ha hecho público. Reveló un intrincado… pic.twitter.com/aTybOrwMHq - ZachXBT (@zachxbt) 8 de abril de 2026 Los agentes emplearon identidades fabricadas para asegurar puestos tecnológicos remotos en bolsas de trabajo como Indeed. La evidencia reveló que Jerry presentó solicitudes para oportunidades de ingeniería de software y desarrollo de pila completa mientras utilizaba Astrill VPN para ocultar la ubicación geográfica. En un borrador de correspondencia descubierto en la infracción, Jerry buscó un puesto de especialista en WordPress y SEO en una empresa de fabricación de camisetas con sede en Texas, solicitando una compensación de 30 dólares por hora por 15 a 20 horas semanales. Un segundo agente identificado como "Rascal" utilizó credenciales falsificadas y una dirección postal de Hong Kong en documentos financieros. Los materiales filtrados también contenían imágenes de un pasaporte irlandés atribuido a Rascal, aunque su uso real aún no se ha verificado. El colectivo gestionó transacciones financieras a través de un sitio web exclusivo identificado como "luckyguys.site". Numerosas cuentas de usuario en esta plataforma emplearon la rudimentaria contraseña predeterminada “123456”, lo que demuestra importantes vulnerabilidades de seguridad operativa. La plataforma tenía un doble propósito: canal de comunicación y sistema de presentación de informes. Los operadores registraron sus ingresos y recibieron directivas a través de la interfaz. Una cuenta administrativa designada PC-1234 validó transacciones y difundió credenciales de acceso para intercambios de criptomonedas y plataformas de tecnología financiera. Tres organizaciones a las que se hace referencia en los datos comprometidos (Sobaeksu, Saenal y Songkwang) enfrentan actualmente sanciones de la Oficina de Control de Activos Extranjeros de Estados Unidos. La moneda digital se cambió por moneda tradicional utilizando instituciones y plataformas financieras chinas como Payoneer. Tether inmovilizó una billetera basada en Tron vinculada a la red en diciembre de 2024. La información comprometida también reveló que ciertos agentes estaban desarrollando estrategias de robo. Las comunicaciones hacían referencia a planes para comprometer una iniciativa blockchain llamada Arcano en GalaChain utilizando un intermediario nigeriano, aunque la confirmación de la ejecución aún no aparece en los datos disponibles. El personal administrativo distribuyó 43 módulos educativos que abordan utilidades de ingeniería inversa, incluidos Hex-Rays e IDA Pro, enfatizando técnicas de desmontaje, procedimientos de depuración y examen de malware. El conjunto de datos completo abarcaba 390 cuentas de usuario, registros de comunicación y actividad de navegación. Los investigadores descubrieron 33 agentes intercambiando mensajes a través de IPMsg dentro de un único entorno de red. ZachXBT observó que este colectivo demostró una menor competencia técnica en comparación con unidades alternativas de cibercrimen de Corea del Norte, como AppleJeus y TraderTraitor. Los actores de amenazas patrocinados por el Estado de Corea del Norte se han apropiado de más de 7 mil millones de dólares en total desde 2009. Este grupo en particular también estuvo relacionado con la violación de seguridad de 280 millones de dólares del Protocolo Drift que ocurrió el 1 de abril de 2025.